REST API'sinde Yetkilendirme başlığının özel kullanımı

İstemcilerin istemci sertifikaları kullanılarak kimliğinin doğrulandığı bir REST API'si oluşturuyorum. Bu durumda bir istemci bireysel bir kullanıcı değil, bir çeşit sunum katmanıdır. Kullanıcılar özel bir yaklaşım kullanarak doğrulanır ve bunun düzgün bir şekilde yapıldığını görmek sunum katmanının sorumluluğundadır (not: Bunun doğru bir yaklaşım olmadığını, ancak API'nin kamuya açık olmadığını biliyorum).

Her istek için kullanıcı adını (parola değil) iletmek istiyorum, ancak bunu nerede yapacağımdan emin değilim. Yetkilendirme başlığını kullanmak iyi bir fikir olur mu?

Yetkilendirme başlığını kullanmak, yapılacak doğru şey gibi görünüyor. Yetkilendirme başlığının tüm amacı budur.

Http://tools.ietf.org/html/rfc7235#section-4.2 adresinden :

"Yetkilendirme" üstbilgisi alanı, bir kullanıcı aracının, genellikle, ancak zorunlu olarak, bir 401 (Yetkisiz) yanıtı aldıktan sonra, kimlik doğrulaması yapmasını sağlar. Değeri, talep edilen kaynağın alanı için kullanıcı aracısının kimlik doğrulama bilgilerini içeren kimlik bilgilerinden oluşur.

Kendi kimlik doğrulama düzeniniz varsa, ancak tekerleği yeniden keşfetmeye gerek yoktur.

Standart bir HTTP üstbilgisinin standart olmayan kullanımını kullanmanızı önermem. Öncelikle, Authoriziationüstbilginin HTTP kimlik doğrulamasında nasıl kullanıldığını bilen diğer geliştiricilere yanıltıcı olabileceği için , aynı zamanda yığınızın diğer bölümleriyle aynı istek üstbilgisinin çakışan farkındalığına sahip olabilecek olası sorunlardan kaçınmak da yanıltıcı olabilir .

Durum ne olursa olsun, özel, standart dışı bir X-Authorization-Userbaşlık, özellikle amaçlarınız için kullanmanızı engelleyen hiçbir şey yoktur .